セキュリティ コントロール v3 バックアップと回復
バックアップと回復により、データと構成のバックアップがさまざまなサービス レベルで確実に実行、検証、保護されるようにコントロールがカバーされています。
BR-1:定期的な自動バックアップを保証する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.2 | CP-2、CP-4、CP-9 | なし |
セキュリティ原則: リソースの作成中に、または既存のリソースのポリシーで適用されるときに、ビジネス クリティカルなリソースのバックアップを確保します。
Azure ガイダンス: Azure Backup でサポートされるリソースの場合、Azure Backup を有効にし、希望の頻度および保持期間で (Azure VM、SQL Server、HANA データベースまたはファイル共有などの) バックアップ ソースを構成します。 Azure VM の場合は、Azure Policy を使用してバックアップを自動的に有効にすることができます。
Azure Backup でサポートされていないリソースの場合は、リソースの作成の一環としてバックアップを有効にしてください。 該当する場合は、組み込みのポリシー (Azure Policy) を使用して、Azure リソースがバックアップ用に構成されていることを確認します。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
BR-2: バックアップおよび回復データを保護する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.3 | CP-6、CP-9 | 3.4 |
セキュリティ原則: バックアップ データと操作が、データ流出、データ侵害、ランサムウェア/マルウェア、悪意のある内部関係者から保護されるようにします。 適用する必要があるセキュリティ コントロールには、ユーザーとネットワークのアクセス制御、保存時および転送中のデータ暗号化が含まれます。
Azure ガイダンス: Azure RBAC と多要素認証を使用して、重要な Azure Backup 操作 (削除、保持期間の変更、バックアップ構成の更新など) をセキュリティで保護します。 Azure Backup でサポートされるリソースの場合、Azure RBAC を使用して作業を分離し、きめ細かいアクセスを有効にし、Azure Virtual Network 内にプライベート エンドポイントを作成して、Recovery Services コンテナーからデータを安全にバックアップおよび復元します。
Azure Backup にサポートされるリソースの場合、バックアップ データは、256 ビット AES 暗号化とともに Azure プラットフォーム マネージド キーを使用して自動的に暗号化されます。 バックアップに、カスタマー マネージド キーを選択することもできます。 この場合は、Azure Key Vault 内のこのカスタマー マネージド キーも確実にバックアップ対象にします。 カスタマー マネージド キーのオプションを使用する場合は、Azure Key Vault で論理的な削除と消去保護を使用して、偶発的または悪意のある削除からキーを保護します。 Azure Backup を使用するオンプレミスのバックアップによって、指定したパスフレーズを使用した保存時の暗号化が提供されます。
バックアップ データを偶発的または悪意のある削除 (ランサムウェア攻撃やバックアップ データの暗号化または改ざんの試行など) から保護します。 Azure Backup でサポートされるリソースの場合、論理的な削除を有効にして、許可されていない削除後最大 14 日間はデータ損失なく項目の回復を行えるようにし、Azure portal で生成された PIN を使用して多要素認証を有効にします。 また、リージョン間の復元を有効にして、プライマリ リージョンで災害が発生した場合にバックアップ データを確実に復元できるようにします。
注: リソースのネイティブ バックアップ機能や、Azure Backup 以外のバックアップ サービスを使用する場合は、Azure セキュリティ ベンチマーク (およびサービス ベースライン) を参照して、上記のコントロールを実装してください。
実装と追加のコンテキスト:
- Azure Backup のセキュリティ機能の概要
- カスタマー マネージド キーを使用したバックアップ データの暗号化
- ハイブリッド バックアップを攻撃から保護するためのセキュリティ機能
- Azure Backup - リージョンをまたがる復元を設定する
顧客のセキュリティ上の利害関係者 (詳細):
BR-3: バックアップを監視する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | なし |
セキュリティ原則: すべてのビジネス クリティカルな保護可能なリソースが、定義されたバックアップ ポリシーと標準に準拠するようにします。
Azure ガイダンス: バックアップの観点からすべての重要なリソースが準拠していることを確認するために、Azure 環境を管理します。 このようなコントロールを監査して適用するには、バックアップに Azure ポリシーを使用します。 Azure Backup でサポートされるリソースの場合: Backup Center を使用すると、バックアップ資産を一元的に管理できます。
重要なバックアップ操作 (削除、保持期間の変更、バックアップ構成の更新) が監視され、監査され、アラートが設定されるようにします。 Azure Backup でサポートされるリソースの場合、バックアップの全体的な正常性を監視し、重要なバックアップ インシデントに対するアラートを受け取り、コンテナーに対してユーザーによってトリガーされたアクションを監査します。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
BR-4: バックアップを定期的にテストする
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.5 | CP-4、CP-9 | 該当なし |
セキュリティ原則: バックアップのデータ復旧テストを定期的に実行して、バックアップ データのバックアップ構成と可用性が、RTO (目標復旧時間) と RPO (目標復旧ポイント) で定義されている復旧ニーズを満たしていることを確認します。
Azure ガイドライン: バックアップのデータ復旧テストを定期的に実行して、バックアップ データのバックアップ構成と可用性が、RTO と RPO で定義されている復旧ニーズを満たしていることを確認します。
毎回完全な復旧テストを実行することが難しい場合があるので、テスト範囲、頻度、方法などのバックアップ復旧テスト戦略を定義することが必要になる場合があります。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):